密钥管理方法、装置及系统制造方法及图纸

本发明专利技术公开了一种密钥管理方法、装置及系统，属于信息安全技术领域。所述方法包括：客户端生成临时密钥，采用后台服务器提供的公钥对临时密钥加密得到第一密文，并发送给后台服务器；后台服务器采用与公钥对应的私钥对第一密文解密得到临时密钥，获取会话密钥和密钥标识，采用临时密钥对会话密钥和密钥标识加密得到第二密文，并发送给客户端；客户端采用临时密钥对第二密文解密得到会话密钥和密钥标识；其中，密钥标识用于标识会话密钥，会话密钥用于对会话的数据加密。本发明专利技术在兼顾密钥的安全性和加解密的高效性的前提下，还简化了后台服务器对密钥进行管理的复杂度，节省了后台服务器的处理和存储资源。

Key management method, device and system

The invention discloses a key management method, a device and a system, belonging to the field of information security technology. The method comprises the following steps: generate a temporary key client, the server provides the public key of a temporary key encrypted by the first ciphertext and sent to the server; the background server use public key and the corresponding private key to first get temporary cipher decryption key, key and key words will get the logo, the session key and encryption key identifier second ciphertext using a temporary key, and sent to the client; the client of second decrypts the session key and ciphertext key identifier using a temporary key; the key identifier identifies the session key, session key is used for session data encryption. The invention simplifies the management complexity of the key of the backstage server and saves the processing and storage resources of the backstage server, considering the security of the key and the high efficiency of encryption and decryption.

【技术实现步骤摘要】
密钥管理方法、装置及系统
本专利技术涉及信息安全
，特别涉及一种密钥管理方法、装置及系统。
技术介绍
目前，数据的加密方式包括对称加密(SymmetricCryptography)和非对称加密(AsymmetricCryptography)两类。对称加密方式是一种快速、简单的加密方式，加密(encryption)与解密(decryption)用的是同样的密钥(secretkey)。对称加密方式通常使用相对较小的密钥，一般小于256bit(比特)。因为密钥越大，加密越强，但加密与解密的过程越慢。密钥的大小需要权衡安全性和效率。典型地，AES(AdvancedEncryptionStandard，高级加密标准)采用的是对称加密方式，在密码学中又称Rijndael加密法。以256Byte(字节)明文来说，估计速度在90万次/秒。对称加密方式由于加密与解密使用的是同样的密钥，因此其优势是加解密的速度快，但其劣势是通讯双方需要提前约定密钥，如果密钥通过网络来传输，则安全性不能保证。非对称加密方式为数据的加密与解密提供了一种非常安全的方法，其使用一对密钥，公钥(publickey)和私钥(privatekey)。私钥只能由一方安全保管，不能外泄，而公钥则可以发给任何需求方。非对称加密方式通常使用公钥加密，而使用私钥解密。与对称加密方式所不同的是，由于私钥不用在网络上传输，因此安全性得到提高。目前，常用的非对称加密算法是RSA(RivestShamirAdleman，一种公钥加密算法)算法。非对称加密方式的优势是安全性高，但其劣势是加解密的速度慢。以1024bit的密钥来说，估计解密速度在1000-1400次/秒，根据硬件略有不同。基于此，采用对称加密方式对需要传输的数据进行加密和解密，但对称加密方式所使用的密钥通过非对称加密方式传输，这样既保证了对称加密方式所使用的密钥不直接暴露在网络上，又保证了加解密的高效性。具体来讲，在现有技术中，通讯一方首先生成一个随机数作为对称密钥，采用通讯对端提供的公钥对该对称密钥加密，并将加密后的对称密钥发送给通讯对端；通讯对端采用与上述公钥对应的私钥对加密后的对称密钥解密，得到对称密钥。之后，通讯一方与通讯对端之间采用该对称密钥对两者之间传输的数据进行加解密。考虑到目前一些采用C/S(Client/Server，客户端/服务器)架构的业务场景，客户端的日活数量可达到千万量级甚至上亿量级，客户端与服务器之间的会话数量相当庞大，这就导致服务器需要耗费大量的资源来管理对称密钥。
技术实现思路
为了解决现有技术中服务器需要耗费大量的资源来管理对称密钥的问题，本专利技术实施例提供了一种密钥管理方法、装置及系统。所述技术方案如下：第一方面，提供了一种密钥管理方法，所述方法包括：生成临时密钥；采用后台服务器提供的公钥对所述临时密钥加密，得到第一密文；向所述后台服务器发送鉴权请求，所述鉴权请求中携带所述第一密文；接收所述后台服务器发送的鉴权响应，所述鉴权响应中携带第二密文，所述第二密文是采用所述临时密钥对会话密钥和密钥标识加密得到的密文；其中，所述密钥标识用于标识会话密钥，所述会话密钥用于对所述会话的数据加密；采用所述临时密钥对所述第二密文解密，得到所述会话密钥和所述密钥标识。第二方面，提供了一种密钥管理方法，所述方法包括：接收客户端发送的鉴权请求，所述鉴权请求中携带第一密文，所述第一密文是采用本端提供的公钥对临时密钥加密得到的密文；采用与所述公钥对应的私钥对所述第一密文解密，得到所述临时密钥；获取会话密钥和密钥标识；其中，所述密钥标识用于标识会话密钥，所述会话密钥用于对所述会话的数据加密；采用所述临时密钥对所述会话密钥和所述密钥标识加密，得到第二密文；向所述客户端发送鉴权响应，所述鉴权响应中携带所述第二密文。第三方面，提供了一种密钥管理装置，所述装置包括：密钥生成模块，用于生成临时密钥；第一加密模块，用于采用后台服务器提供的公钥对所述临时密钥加密，得到第一密文；请求发送模块，用于向所述后台服务器发送鉴权请求，所述鉴权请求中携带所述第一密文；响应接收模块，用于接收所述后台服务器发送的鉴权响应，所述鉴权响应中携带第二密文，所述第二密文是采用所述临时密钥对会话密钥和密钥标识加密得到的密文；其中，所述密钥标识用于标识会话密钥，所述会话密钥用于对所述会话的数据加密；第一解密模块，用于采用所述临时密钥对所述第二密文解密，得到所述会话密钥和所述密钥标识。第四方面，提供了一种密钥管理装置，所述装置包括：请求接收模块，用于接收客户端发送的鉴权请求，所述鉴权请求中携带第一密文，所述第一密文是采用本端提供的公钥对临时密钥加密得到的密文；第二解密模块，用于采用与所述公钥对应的私钥对所述第一密文解密，得到所述临时密钥；密钥获取模块，用于获取会话密钥和密钥标识；其中，所述密钥标识用于标识会话密钥，所述会话密钥用于对所述会话的数据加密；第二加密模块，用于采用所述临时密钥对所述会话密钥和所述密钥标识加密，得到第二密文；响应发送模块，用于向所述客户端发送鉴权响应，所述鉴权响应中携带所述第二密文。第五方面，提供了一种密钥管理系统，所述系统包括：客户端和后台服务器；所述客户端包括如第三方面所述的密钥管理装置；所述后台服务器包括如第四方面所述的密钥管理装置。本专利技术实施例提供的技术方案带来的有益效果包括：通过客户端采用非对称加密方式对临时密钥加密后发送给后台服务器，后台服务器解密得到临时密钥后，采用该临时密钥对会话密钥和密钥标识加密得到第二密文，并将第二密文发送给客户端，客户端采用临时密钥对第二密文解密，得到会话密钥和密钥标识，以便于客户端后续在与后台服务器进行会话时，采用会话密钥对会话的数据进行加解密；解决了现有技术中由于客户端与服务器之间的会话数量相当庞大，导致服务器需要耗费大量的资源来管理对称密钥的问题；相较于现有技术直接采用由客户端生成的对称密钥对会话的数据进行加解密，本专利技术实施例采用由后台服务器提供的会话密钥对会话的数据进行加解密，使得后台服务器仅需管理会话密钥即可，无需对大量客户端生成的密钥进行管理，从而简化了后台服务器对密钥进行管理的复杂度，且有助于节省后台服务器的资源。本专利技术实施例提供的技术方案，在兼顾密钥的安全性和加解密的高效性的前提下，还简化了后台服务器对密钥进行管理的复杂度，节省了后台服务器的处理和存储资源。因此，本专利技术实施例提供的密钥管理方案，可以很好地适用于大量高并发业务场景，如C/S架构的业务场景，即便客户端的日活数量达到千万量级甚至上亿量级，即便客户端与服务器之间的会话数量相当庞大，服务器也能够简单有效地管理加密所需的密钥，并确保客户端与服务器之间数据传输的安全性和加解密效率。附图说明为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是本专利技术一个实施例提供的实施环境的示意图；图2是本专利技术另一实施例提供的实施环境的示意图；图3是本专利技术一个实施例提供的密钥管理方法的流程图；图4是本专利技术另一实施例提供的本文档来自技高网...

【技术保护点】
一种密钥管理方法，其特征在于，所述方法包括：生成临时密钥；采用后台服务器提供的公钥对所述临时密钥加密，得到第一密文；向所述后台服务器发送鉴权请求，所述鉴权请求中携带所述第一密文；接收所述后台服务器发送的鉴权响应，所述鉴权响应中携带第二密文，所述第二密文是采用所述临时密钥对会话密钥和密钥标识加密得到的密文；其中，所述密钥标识用于标识所述会话密钥，所述会话密钥用于对所述会话的数据加密；采用所述临时密钥对所述第二密文解密，得到所述会话密钥和所述密钥标识。

【技术特征摘要】
1.一种密钥管理方法，其特征在于，所述方法包括：生成临时密钥；采用后台服务器提供的公钥对所述临时密钥加密，得到第一密文；向所述后台服务器发送鉴权请求，所述鉴权请求中携带所述第一密文；接收所述后台服务器发送的鉴权响应，所述鉴权响应中携带第二密文，所述第二密文是采用所述临时密钥对会话密钥和密钥标识加密得到的密文；其中，所述密钥标识用于标识所述会话密钥，所述会话密钥用于对所述会话的数据加密；采用所述临时密钥对所述第二密文解密，得到所述会话密钥和所述密钥标识。2.根据权利要求1所述的方法，其特征在于，所述采用所述临时密钥对所述第二密文解密，得到所述会话密钥和所述密钥标识之后，还包括：采用所述会话密钥对所述会话的上行数据加密，得到加密后的上行数据；向所述后台服务器发送上行数据包，所述上行数据包的包头携带所述密钥标识，所述上行数据包的包体携带所述加密后的上行数据。3.根据权利要求1所述的方法，其特征在于，所述采用所述临时密钥对所述第二密文解密，得到所述会话密钥和所述密钥标识之后，还包括：接收所述后台服务器发送的下行数据包，所述下行数据包的包头携带所述密钥标识，所述下行数据包的包体携带加密后的下行数据；采用与所述包头中携带的所述密钥标识相对应的会话密钥对所述加密后的下行数据解密，得到下行数据。4.根据权利要求1所述的方法，其特征在于，所述生成临时密钥，包括：采用随机数生成器生成所述临时密钥。5.根据权利要求1所述的方法，其特征在于，所述方法还包括：接收所述后台服务器发送的对应于所述会话密钥的初始化向量，所述初始化向量供本端采用所述会话密钥进行对称加密和解密时使用。6.一种密钥管理方法，其特征在于，所述方法包括：接收客户端发送的鉴权请求，所述鉴权请求中携带第一密文，所述第一密文是采用本端提供的公钥对临时密钥加密得到的密文；采用与所述公钥对应的私钥对所述第一密文解密，得到所述临时密钥；获取会话密钥和密钥标识；其中，所述密钥标识用于标识会话密钥，所述会话密钥用于对所述会话的数据加密；采用所述临时密钥对所述会话密钥和所述密钥标识加密，得到第二密文；向所述客户端发送鉴权响应，所述鉴权响应中携带所述第二密文。7.根据权利要求6所述的方法，其特征在于，所述获取会话密钥和密钥标识，包括：采用随机数生成器生成所述会话密钥；生成对应于所述会话密钥的密钥标识。8.根据权利要求6所述的方法，其特征在于，所述获取会话密钥和密钥标识，包括：从预存密钥中选取一组对应的会话密钥和密钥标识；其中，所述预存密钥中包括至少一组对应的会话密钥和密钥标识。9.根据权利要求8所述的方法，其特征在于，所述从预存密钥中选取一组对应的会话密钥和密钥标识，包括：获取所述客户端对应的互联网协议IP地址；根据所述IP地址确定密钥选取范围，所述密钥选取范围包括所述预存密钥中的部分相对应的会话密钥和密钥标识；从所述密钥选取范围中选取一组对应的会话密钥和密钥标识。10.根据权利要求6所述的方法，其特征在于，所述向所述客户端发送鉴权响应之后，还包括：接收所述客户端发送的上行数据包，所述上行数据包的包头携带所述密钥标识，所述上行数据包的包体携带加密后的上行数据；采用与所述包头中携带的所述密钥标识相对应的会话密钥对所述加密后的上行数据解密，得到上行数据。11.根据权利要求6所述的方法，其特征在于，所述向所述客户端发送鉴权响应之后，还包括：采用所述会话密钥对所述会话的下行数据加密，得到加密后的下行数据；向所述客户端发送下行数据包，所述下行数据包的包头携带所述密钥标识，所述下行数据包的包体携带所述加密后的下行数据。12.根据权利要求6所述的方法，其特征在于，所述接收客户端发送的鉴权请求之后，还包括：获取所述客户端所在设备对应的全局唯一标识符GUID；获取所述GUID对应的鉴权请求次数；若所述鉴权请求次数小于预设阈值，则执行所述采用与所述公钥对应的私钥对所述第一密文解密，得到所述临时密钥的步骤。13.根据权利要求6所述的方法，其特征在于，所述方法还包括：获取对应于所述会话密钥的初始化向量；向所述客户端发送所述初始化向量，所述初始化向量供所述客户端采用所述会话密钥进行对称加密和解密时使用。14.一种密钥管理装置，其特征在于，所述装置包括：密钥生成模块，用于生成临时密钥；第一加密模块，用于采用后台服务器提供的公钥对所述临时密钥加密，得到第一密文；请求发送模块，用于向所述后台服务器发送鉴权请求，所述鉴权请求中携带所述第...

【专利技术属性】
技术研发人员：陈凯，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：广东,44